Установка и настройка AlienVault SIEM (OSSIM)

в 14:30, , рубрики: linux, open source, ossim, Блог компании OTUS. Онлайн-образование, информационная безопасность, Настройка Linux

Перевод статьи подготовлен специально для студентов курса «Безопасность Linux».


OSSIM (Open Source Security Information Management) — это проект с открытым исходным кодом от Alienvault, который обеспечивает функционал SIEM (Security information and event management). Он обеспечивает следующие функции SIEM, требующиеся специалистам по безопасности.

  • Сбор событий
  • Нормализация
  • Корреляция

OSSIM — это унифицированная платформа, предоставляющая фундаментальные средства безопасности. В платформу OSSIM встроены многие признанные программные обеспечения с открытым исходным кодом. Она продолжает быть самым быстрым способом сделать первые шаги к видимости единой безопасности.

Платформа OSSIM поддерживает следующие программы/плагины с открытым исходным кодом:

  • Apache
  • IIS
  • Syslog
  • Ossec
  • Snare
  • Snort
  • OpenVAS
  • Nessus
  • Nagios
  • Ntop
  • Nmap

Установка OSSIM

Загрузите ISO-образ с AlienVault и установите его в виртуальной машине. В этом руководстве вместо физического сервера мы установим OSSIM на виртуальную машину, которая имеет следующие спецификации:

Она имеет два интерфейса, один для управления сервером и второй для сбора логов и мониторинга сетевых устройств. Детали виртуальной машины приведены ниже.

Процессор: 2 VCPU, ОЗУ: 2 ГБ, Размер жесткого диска: 8 ГБ, IP-адрес управления: 192.168.1.150/24 и сеть устройств: 192.168.0.0/24

Когда виртуальная машина OSSIM загружается с ISO-образом, в мастере установки отображаются следующие два параметра.

Установка и настройка AlienVault SIEM (OSSIM) - 1

На рисунке выше выделен вариант, который будет устанавливать OSSIM на этой виртуальной машине. Нажмите ввод, чтобы начать процесс установки. Выберите язык, местоположение и настройки клавиатуры в следующих шагах.

Конфигурация сети

На этом этапе настройте сеть виртуальной машины OSSIM. Для управления мы используем eth0, а остальная сеть подключена к eth1. Конфигурация сети для eth0 показана ниже.

Установка и настройка AlienVault SIEM (OSSIM) - 2
Установка и настройка AlienVault SIEM (OSSIM) - 3

Настройка root-пользователя

После настройки сети в следующих окнах запрашивается пароль root-пользователя, который может получить доступ к CLI сервера OSSIM. Пароль root-пользователя должен быть надежным.

Установка и настройка AlienVault SIEM (OSSIM) - 4

Настройка часового пояса

Информация о часовом поясе важна для системы логов. Она приведена ниже.

Установка и настройка AlienVault SIEM (OSSIM) - 5

После настройки часового пояса мастер автоматически выполнит шаг раздела пространства и начнет установку базовой системы. Этот шаг займет примерно 15-20 минут.

Установка и настройка AlienVault SIEM (OSSIM) - 6

Завершающий этап установки показан на следующем рисунке.

Установка и настройка AlienVault SIEM (OSSIM) - 7

После завершения установки AlienVault OSSIM появится следующая подсказка Windows. Мы можем получить доступ к веб-интерфейсу, используя следующий URL:

https://192.168.1.150/

Установка и настройка AlienVault SIEM (OSSIM) - 8

Авторизуемся с логином root и паролем test в CLI сервера OSSIM.

Установка и настройка AlienVault SIEM (OSSIM) - 9

Последний браузер Mozilla Firefox не открывает ссылку, поэтому используйте браузер Chrome или IE для доступа к веб-интерфейсу. Chrome и IE предложат следующие окна, в которых говорится, что сертификат не является доверенным, поскольку OSSIM использует самозаверяющий сертификат.

Установка и настройка AlienVault SIEM (OSSIM) - 10

После принятия вышеуказанного исключения, для администратора сервера OSSIM требуется следующая информация. Заполните необходимые данные, которые запрашиваются на следующем рисунке.

Установка и настройка AlienVault SIEM (OSSIM) - 11

Следующие окна появятся после создания учетной записи администратора. Имя пользователя — admin, а пароль — test@123.

Установка и настройка AlienVault SIEM (OSSIM) - 12

После успешного входа в веб-интерфейс появится следующий мастер для дальнейшей настройки сервера OSSIM.

Установка и настройка AlienVault SIEM (OSSIM) - 13

Он показывает следующие три варианта:

  1. Monitor Network — Мониторинг сети (настройка сети, мониторинг которой осуществляет сервер OSSIM)
  2. Assets Discovery — Обнаружение устройств (Автоматическое обнаружение сетевых устройств в организации)
  3. Collecting logs and monitoring of network nodes — Сбор логов и мониторинг сетевых узлов

Для настройки сервера OSSIM нажмите на кнопку START на рисунке выше.

После нажатия на 1-й вариант, другое окно запросит конфигурацию сети, которая показана на рисунке ниже. Мы настроили eth1 для сборщика логов и интерфейса мониторинга сервера OSSIM.

Установка и настройка AlienVault SIEM (OSSIM) - 14

На втором этапе OSSIM выполнит автоматическое обнаружение сетевых устройств. Выберите опцию Обнаружение устройств (2), и следующие окна запросят конфигурацию. Оно поддерживает автоматическое и ручное обнаружение устройств.

Типы хостов на сервере OSSIM:

  • Windows
  • Linux
  • Сетевое устройство

Установка и настройка AlienVault SIEM (OSSIM) - 15

После настройки сети и обнаружения устройств следующим шагом является развертывание HIDS на устройствах Windows/Linux для обеспечения целостности файлов, мониторинга, обнаружения руткитов и сбора логов событий. Введите имя пользователя/пароль устройства для развертывания HIDS.

Установка и настройка AlienVault SIEM (OSSIM) - 16

Выберите нужный хост из списка и нажмите кнопку Deploy для развертывания HIDS. Далее нажмите кнопку «Continue», чтобы начать процесс развертывания, который показан на рисунке. Этот процесс займет несколько минут для развертывания HIDS на выбранном хосте.

Установка и настройка AlienVault SIEM (OSSIM) - 17

Установка и настройка AlienVault SIEM (OSSIM) - 18

Управление логами

На следующем рисунке показана конфигурация обнаруженного хоста для управления различными логами.

Установка и настройка AlienVault SIEM (OSSIM) - 19

Последний вариант мастера настройки — присоединиться к OTX (программа обмена угрозами AlienVault). Мы не собираемся подписываться на этот вариант. Завершите этап настройки, нажав кнопку «Finish».

Основная панель управления сервером OSSIM показана ниже.

Установка и настройка AlienVault SIEM (OSSIM) - 20

Веб интерфейс

Веб-интерфейс сервера OSSIM состоит из следующих опций в основном графическом интерфейсе.

  • Дашборд
  • Анализ
  • Среды
  • Отчеты
  • Конфигурация

Дашборд

Он показывает полное представление обо всех компонентах сервера OSSIM, таких как серьезность угрозы, уязвимости в сетевом узле, состояние развертывания, карты рисков и статистика OTX. Подменю дашборда показаны на следующем рисунке

Установка и настройка AlienVault SIEM (OSSIM) - 21

Анализ

Анализ является очень важной составляющей любого устройства SIEM. Сервер OSSIM проанализирует хосты на основе их логов. Это меню показывает сигналы тревоги, SIEM (события безопасности), тикеты и необработанные логи. Меню анализа далее разделено на следующие подменю.

Установка и настройка AlienVault SIEM (OSSIM) - 22

Среда

В этом меню сервера OSSIM настройки связаны с устройствами организации. Оно показывает устройства, группу и сеть, уязвимости, сетевой поток и настройки обнаружения. Подменю для всех этих настроек показаны на рисунке ниже.

Установка и настройка AlienVault SIEM (OSSIM) - 23

Отчеты

Отчетность является важным компонентом любого сервера регистрации. Сервер OSSIM также генерирует отчеты, которые очень полезны для детального исследования любого конкретного хоста.

Установка и настройка AlienVault SIEM (OSSIM) - 24

Конфигурация

В конфигурации meHow для установки и настройки AlienVault SIEM (OSSIM) пользователь может изменить настройку сервера OSSIM, например, изменить IP-адрес интерфейса управления, добавить дополнительный хост для мониторинга и логирования, а также добавить/удалить различные датчики или плагины. Подменю для всех сервисов показано ниже.

Установка и настройка AlienVault SIEM (OSSIM) - 25

В этой статье мы объясняем процесс установки и настройки программного обеспечения SIEM с открытым исходным кодом, поддерживаемого AlienVault. В нашей следующей статье мы сосредоточимся на деталях всех компонентов OSSIM.

Пишите в комментарии был ли перевод полезным для вас. А всех желающих ждем на открытом вебинаре, который пройдет уже 18 декабря.

Автор: MaxRokatansky

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js